Analiza Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022
Nadużycia popełniane przez użytkowników systemów informatycznych były, aż do końca lat 80. XX w., bagatelizowane, a dekadę wcześniej wręcz negowano szkodliwość i znaczenie tych czynów. Zmiana stanowiska władz państw wysoko rozwiniętych nastąpiła w latach 90. XX w., kiedy dostrzeżono transgraniczność działalności komputerowej poprzez możliwość komunikacji za pomocą sieci Internet. Dodatkowo, ogromne tempo rozwoju technologicznego, który wspomaga użytkowników komputerów oferując coraz szybsze urządzenia, łatwiejsze w użyciu, możliwe do obsługi przez nie-informatyków, rozpoczęło lawinowy wzrost strat powodowanych komputerowymi nadużyciami. W połowie lat 80. XX w. koszty związane z oszustwami elektronicznymi w świecie amerykańskiego biznesu szacowano na ok. 100 mln USD rocznie, by pod koniec lat 90. wycenić kradzieże dokonywane przy użyciu komputerów na ok. 3 – 7,5 miliardów USD[1]. Zauważono również znaczącą różnicę między konsekwencjami finansowymi tradycyjnych napadów na banki, które jednorazowo traciły ok. 8 tys. USD a stratami wynikłymi z kradzieży informacji z systemów komputerowych, szacowanymi średnio na 100 tys. USD. Do tego doszły różnej skali oszustwa komputerowe, za które przeciętny bank „płacił” nawet ok. pół miliona USD[2]. Okazało się, że nie potrzeba ogromnych nakładów finansowych ani lat studiów technicznych aby ściągnąć pliki z innego komputera, czy „podrzucić” złośliwy program nielubianemu sąsiadowi, zwłaszcza, jeżeli zgłębi się zasoby sieciowe. Z łatwością każdy znajdzie tam wszystkie potrzebne do dokonania czynu narzędzia i informacje[3].
flickr.com by Blogtrepreneur, CC BY 2.0. Edit by Tomasz Zając.
W Polsce również dostrzeżono tą kwestię, czego przykładem były liczne publikacje[4] oraz powołanie zespołu do reagowania na zdarzenia naruszające bezpieczeństwo w sieci w NASK[5]. Polska Policja także szybko zareagowała tworząc w 1996 r. w Komendzie Głównej Policji zespół ds. przestępczości komputerowej. Dodatkowo, w Wyższej Szkole Policji w Szczytnie organizowane są coroczne konferencje naukowe „Techniczne Aspekty Przestępczości Teleinformatycznej”[6], zaś w latach 2001-2014 odbywały się konferencje „Przestępczość z wykorzystaniem elektronicznych instrumentów płatniczych”. Działania policyjne postaram się zrecenzować w dalszej części niniejszego tekstu.
Jako że większość podanych powyżej zdarzeń i faktów znajdowała się w orbicie zainteresowań osobistych i zawodowych Autora uważam, iż mam prawo w niniejszym tekście przeanalizować aktualną Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022[7] oraz wcześniejsze działania rządowe w tej materii. Cytując dane statystyczne będę musiał odnosić się do raportów dotyczących maksymalnie roku 2015, bowiem na stronach agencji rządowych nie opublikowano dotychczas bardziej aktualnych informacji.
Od 2008 r. w ówczesnym Ministerstwie Spraw Wewnętrznych i Administracji oraz m.in. w ABW prowadzone były czynności mające na celu przygotowanie kompleksowej, narodowej strategii przeciwdziałania zagrożeniom występującym w cyberprzestrzeni. W toku prac powstało siedem kolejnych projektów strategii:
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2008–2011” (listopad 2008 r.);
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2009–2011” (styczeń 2009 r.);
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2009–2011” – założenia (marzec 2009 r.);
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2015” (maj 2010 r.);
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2016” (czerwiec 2010 r.);
- „Rządowy program ochrony cyberprzestrzeni RP na lata 2011–2020” (kwiecień 2011 r.);
- „Polityka bezpieczeństwa cyberprzestrzeni RP” (maj 2011 r.).
Żaden z wymienionych dokumentów nie został zatwierdzony przez Radę Ministrów i przyjęty do realizacji, co wynikało przede wszystkim z ich niskiej jakości oraz nierzetelnego przygotowania. W styczniu 2012 r., w reakcji na wydarzenia związane z protestami ACTA, w nowo utworzonym MAiC, wznowiono prace prowadzone wcześniej w byłym MSWiA, mające na celu przygotowanie narodowej strategii ochrony cyberprzestrzeni. W wyniku tych prac przygotowano projekt dokumentu pt. „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”, który został we wrześniu 2012 r. przekazany przez Ministra Administracji i Cyfryzacji do konsultacji międzyresortowych i społecznych, a następnie, w marcu 2013 r., do rozpatrzenia przez Stały Komitet Rady Ministrów. „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”[8] została przyjęta uchwałą Rady Ministrów nr 111/2013 z dnia 25 czerwca 2013 r., a koordynację realizacji jej postanowień powierzono ministrowi właściwemu ds. informatyzacji. Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 jest kontynuacją działań podejmowanych w przeszłości przez administrację rządową oraz dokumentem koncepcyjnym i wykonawczym w stosunku do Strategii Bezpieczeństwa Narodowego RP – Doktryną cyberbezpieczeństwa RP opublikowaną przez Biuro Bezpieczeństwa Narodowego w 2015 r.[9]
Samo powstanie tych dokumentów należy oceniać bardzo pozytywnie, gdyż dostrzeżono wreszcie bardzo ważkie zagadnienie. Pomijam analizę Polityki[10], której założenia były jak najbardziej prawidłowe. Część działań w niej zawartych została wykonana, zwłaszcza w zakresie analitycznym. Jednakże (należy stwierdzić) tempo prac i efekty końcowe nie były zadawalające. Potwierdza to cytowana poniżej informacja Najwyższej Izby Kontroli z 30 czerwca 2015 r.[11], z którą częściowo się zgadzam:
„Kluczowym czynnikiem paraliżującym aktywność państwa w tym zakresie był brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych. Nie zidentyfikowano podstawowych zagrożeń dla krajowej infrastruktury teleinformatycznej oraz nie wypracowano narodowej strategii ochrony cyberprzestrzeni, stanowiącej podstawę dla działań podnoszących bezpieczeństwo teleinformatyczne. Nie określono też struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowano obowiązków i uprawnień jego uczestników oraz nie przydzielono zasobów niezbędnych do skutecznej realizacji zadań. A co najważniejsze nie przygotowano procedur reagowania w sytuacjach kryzysowych, związanych z cyberprzestrzenią.
W ocenie NIK, istotnym czynnikiem wpływającym negatywnie na realizację zadań w obszarze bezpieczeństwa w cyberprzestrzeni było niewystarczające zaangażowanie kierownictwa administracji rządowej, w tym Prezesa Rady Ministrów, w celu rozstrzygania kwestii spornych między poszczególnymi urzędami oraz zapewnienia współdziałania organów i instytucji związanych z bezpieczeństwem teleinformatycznym państwa.
Jako działania pozytywne w obszarze ochrony cyberprzestrzeni można wskazać w szczególności:
- powołanie i utrzymywanie na wysokim poziomie zespołów CERT[12] (zespołów ds. bezpieczeństwa informatycznego) przez takie instytucje jak NASK, ABW oraz MON;
- utworzenie przez Ministra Obrony Narodowej systemu reagowania na incydenty komputerowe w resorcie obrony narodowej oraz wyspecjalizowanej jednostki – Narodowego Centrum Kryptologii;
- upowszechnianie przez Rządowe Centrum Bezpieczeństwa wytycznych i dobrych praktyk z zakresu ochrony teleinformatycznej infrastruktury krytycznej;
- prowadzenie przez NASK i Policję aktywnych działań edukacyjnych dotyczących m.in. przestępczości komputerowej i bezpieczeństwa w cyberprzestrzeni.
NIK zauważa, że poszczególne kontrolowane podmioty posiadały własne, odrębne procedury zapobiegania zagrożeniom w cyberprzestrzeni. Ale suma tych systemów nie tworzyła spójnej całości – jednego spójnego systemu.
Kontrola wykazała, że Minister Administracji i Cyfryzacji, któremu bezpośrednio przypisano obowiązki związane z ochroną cyberprzestrzeni, nie realizował należących do niego zadań w zakresie inicjowania i koordynowania działań innych podmiotów w dziedzinie bezpieczeństwa teleinformatycznego państwa. Minister Administracji i Cyfryzacji nie dysponował zasobami pozwalającymi na realną realizację zadań dotyczących zarządzania krajowym system ochrony cyberprzestrzeni oraz nie miał uprawnień do oddziaływania na inne instytucje, które odmawiały współpracy lub nierzetelnie i nieterminowo wywiązywały się z przypisanych im obowiązków.
Minister Spraw Wewnętrznych nie realizował żadnych zadań związanych z budową krajowego systemu ochrony cyberprzestrzeni. Działania Ministra w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych – jednak nawet w tym zakresie były prowadzone w sposób nierzetelny.
NIK zauważyła, że obowiązujące obecnie przepisy Prawa telekomunikacyjnego są wadliwie sformułowane i nie mogą być w praktyce wykorzystywane do realizacji zadań związanych z bezpieczeństwem IT. Było to przyczyną zaniechania wykonywania obowiązków przez Prezesa Urzędu Komunikacji Elektronicznej, dotyczących w szczególności pozyskiwania informacji o incydentach występujących w cyberprzestrzeni oraz informowania obywateli o zagrożeniach związanych z korzystaniem z Internetu.
Koordynowany przez Rządowe Centrum Bezpieczeństwa system zarządzania kryzysowego nie jest komplementarny i spójny z działaniami w zakresie bezpieczeństwa teleinformatycznego oraz w niewystarczającym stopniu uwzględnia nowe zagrożenia dla infrastruktury krytycznej państwa, jakimi są zagrożenia występujące w cyberprzestrzeni.
Jednostki organizacyjne Policji podejmowały działania związane ze zwalczaniem przestępczości komputerowej oraz aktywnie uczestniczyły w kampaniach edukacyjno-informacyjnych dotyczących bezpiecznego korzystania z Internetu. Komendant Główny Policji nie podjął natomiast rzetelnych działań w celu wdrożenia w Policji realnego i kompleksowego systemu reagowania na zagrożenia i incydenty w cyberprzestrzeni.
Minister Obrony Narodowej aktywnie realizował zadania w zakresie budowy resortowego systemu reagowania na incydenty komputerowe oraz uczestniczył w budowie krajowego systemu ochrony cyberprzestrzeni.
Kierownictwo Agencji Bezpieczeństwa Wewnętrznego realizowało zadania związane z zapobieganiem i reagowaniem na incydenty komputerowe w systemach podmiotów administracji państwowej, polegające m.in. na stworzeniu i utrzymywaniu systemu wczesnego ostrzegania ARAKIS.GOV oraz Zespołu CERT.GOV.PL. Aktywność ABW podlegała jednak istotnym ograniczeniom, wynikającym w szczególności z niewystarczających zasobów i braku formalnego umocowania Zespołu CERT.GOV.PL.
Kierownictwo Naukowej i Akademickiej Sieci Komputerowej podejmowało liczne działania, które NIK oceniła jako dobre praktyki w zakresie ochrony cyberprzestrzeni. Dotyczyły one w szczególności powołania i utrzymywania zespołu CERT Polska.
NIK odnotowała, że od 2008 roku prowadzone były prace nad narodową strategią ochrony cyberprzestrzeni. Kolejne wersje tego dokumentu nie były jednak zatwierdzane ze względu na ich nierzetelne przygotowanie i sprzeczne interesy różnych instytucji zaangażowanych w przygotowywanie strategii. W czerwcu 2013 r. Rada Ministrów przyjęła „Politykę ochrony cyberprzestrzeni Rzeczypospolitej Polskiej” – dokument będący wynikiem źle rozumianego kompromisu, nieprecyzyjny i obarczony licznymi błędami merytorycznymi. Nieliczne zadania wynikające bezpośrednio z „Polityki” nie były realizowane przez większość skontrolowanych przez NIK podmiotów, co pozwala stwierdzić, że praktyczne zastosowanie strategii w celu poprawy bezpieczeństwa teleinformatycznego państwa było raczej symboliczne.
Wciąż nie zostały opracowane także założenia systemu finansowania działań związanych z ochroną cyberprzestrzeni RP. Nie przydzielono żadnych dodatkowych środków na ich realizację, co w ocenie NIK praktycznie sparaliżowało działania podmiotów państwowych w zakresie bezpieczeństwa teleinformatycznego. Zasoby poszczególnych jednostek objętych kontrolą były bowiem nieadekwatne w stosunku do przypisanych im obowiązków.
Nie prowadzono żadnych prac legislacyjnych, które miałyby na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym państwa. Nie przeprowadzono inwentaryzacji rozproszonych w różnych aktach prawnych przepisów związanych z cyberbezpieczeństwem ani nie zdefiniowano pożądanych kierunków zmian legislacyjnych. Nie przygotowano nawet założeń aktu normatywnego, określającego strukturę krajowego systemu ochrony cyberprzestrzeni i jego uczestników.
W Polsce wciąż nie funkcjonuje spójny krajowy system reagowania na incydenty komputerowe. Czynności z zakresu reagowania na incydenty są realizowane przez funkcjonujące niezależnie od siebie państwowe i prywatne zespoły CERT, zajmujące się swoimi własnymi obszarami oddziaływania. Kierownictwo administracji państwowej nie podejmowało działań w celu wypracowania założeń pożądanej struktury zespołów reagowania, ustanowienia kanałów wymiany informacji oraz powołania CERTu narodowego, koordynującego działania wielu podmiotów i odpowiadającego za współpracę międzynarodową.
Minister Administracji i Cyfryzacji, który zgodnie z zapisami strategii odpowiada za koordynację krajowego systemu reagowania na incydenty komputerowe, nie realizował żadnych zadań w tym zakresie.
Administracja państwowa nie dysponuje wiedzą na temat skali i rodzaju incydentów występujących w cyberprzestrzeni, a ustanowiony w Prawie telekomunikacyjnym system zbierania i rejestrowania takich informacji okazał się być całkowicie nieskuteczny.
Tworzone w Polsce plany kryzysowe, w tym w szczególności Krajowy Plan Zarządzania Kryzysowego, odnosiły się wyłącznie do zdarzeń konwencjonalnych, takich jak np. katastrofy naturalne i nie uwzględniały zmiany charakteru zagrożeń, wynikającej m.in. z postępu technologicznego. Obowiązujące przepisy dotyczące zarządzania kryzysowego oraz Prawa telekomunikacyjnego nie były wykorzystywane w celu opracowania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie.
NIK dostrzega wysiłki podejmowane przez ABW (we współpracy z NASK) w celu realizacji projektu dotyczącego wytworzenia, utrzymywania i rozbudowy systemu wczesnego ostrzegania – ARAKIS.GOV. W ramach tego przedsięwzięcia w kilkudziesięciu instytucjach publicznych zainstalowano sondy systemu, dzięki którym uzyskiwano informacje o zagrożeniach w sieci Internet. Jednak ze względu na braki finansowe, dobrowolność udziału w projekcie oraz instalowanie sond wyłącznie w podmiotach publicznych, zasięg oddziaływania systemu ARAKIS.GOV oraz pozyskiwanych za jego pomocą danych miały ograniczony zakres.
Administracja publiczna nie wypracowała dotąd zintegrowanego i systemowego wspierania przez państwo badań w obszarze ochrony cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w celu poprawy bezpieczeństwa teleinformatycznego”.
Jak widać ocena NIK w zakresie podejścia podmiotów rządowych do cyberbezpieczeństwa jest miażdżąca[13], choć nie bardzo rozumiem, dlaczego winą obarcza się głównie Ministra Administracji i Cyfryzacji, na którego barki nałożono – moim zdaniem – zbyt wiele obowiązków. Zresztą, informacja o wynikach kontroli, w którym wychwala się rolę ABW i służb wojskowych, a neguje w czambuł cywilów, z samej istoty jest podejrzana, zwłaszcza, iż znane były już wcześniej rozbieżne stanowiska oraz współzawodnictwo kierownictwa MSWiA i ABW w zakresie pożądanej struktury koordynacji systemu ochrony cyberprzestrzeni, w tym spory personalne dotyczące powołania i obsadzenia stanowiska Pełnomocnika Rządu ds. Ochrony Cyberprzestrzeni RP, a niektóre pomysły ABW (choćby umiejscowienie, na podstawie stanowiska kierownictwa MSWiA i ABW ze stycznia 2008 r., Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL w strukturach tej służby) można uznać za co najmniej dyskusyjne.
Czy więc nowa Strategia poprawia te niedomagania?
Celem głównym Strategii ma być zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych w taki sposób, by w roku 2022 Polska była krajem bardziej odpornym na ataki i zagrożenia płynące z cyberprzestrzeni, a dzięki synergii działań wewnętrznych i międzynarodowych cyberprzestrzeń RP stanowić będzie bezpieczne środowisko umożliwiające realizowanie wszystkich funkcji państwa i pozwalać na pełne wykorzystywanie potencjału gospodarki cyfrowej, przy równoczesnym poszanowaniu praw i wolności obywateli. Cel główny realizowany ma być poprzez cztery cele szczegółowe.
Cele jak najbardziej wskazane, ale czy realne do osiągnięcia?
Pierwszy cel szczegółowy – osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa, ma być zrealizowany poprzez:
- dostosowanie otoczenia prawnego do potrzeb i wyzwań w obszarze cyberbezpieczeństwa,
- udoskonalenie struktury krajowego systemu cyberbezpieczeństwa,
- zwiększenie efektywności współdziałania podmiotów zapewniających bezpieczeństwo cyberprzestrzeni RP,
- zwiększenie bezpieczeństwa teleinformatycznego usług kluczowych i cyfrowych oraz infrastruktury krytycznej,
- opracowanie i wdrożenie standardów oraz dobrych praktyk bezpieczeństwa sieci i systemów informatycznych,
- wypracowanie i wdrożenie systemu zarządzania ryzykiem na poziomie krajowym,
- zapewnienie bezpiecznego łańcucha dostaw,
- zbudowanie systemu ostrzegania użytkowników cyberprzestrzeni w zakresie ryzyka wynikającego z cyberzagrożeń.
Hasłowo brzmi to prosto, ale jak z realizacją?
Przykładowo – w celu implementowania do polskiego prawa przepisów Konwencji o cyberprzestępczości znowelizowane zostały odnośne przepisy kodeksu karnego, w tym w szczególności zawarte w rozdziale XXXIII k.k. zatytułowanym Przestępstwa przeciwko ochronie informacji. Dla autora nie jest zrozumiałym dlaczego ustawodawca łagodniej traktuje sprawcę oszustwa komputerowego (art. 287 kk) od oszustwa klasycznego (art. 286 kk). Prawdopodobnie problemem jest postępowanie dowodowe. Polskie przepisy proceduralne w tym zakresie są przestarzałe i w dalszym ciągu kluczowym dylematem służb jest kwestia „co zabezpieczać?” – kopie danych, czy cały sprzęt, jak traktować logi systemowe, co może być śladem przestępstwa popełnianego w sieci.
Absurdem jest także pozostawienie w polskim prawie ponad 62 ustaw definiujących pojęcia ochrony i tajemnicy informacji, nie zawsze ze sobą skorelowanych, przez co, przykładowo, pojęcie ‘informacja poufna’ nie zawsze oznacza to samo. Drobne różnice widać także w podstawowych pojęciach między tak kluczowymi dla ochrony informacji ustawami jak „Ustawa o ochronie danych osobowych” i „Ustawa o ochronie informacji niejawnych”, gdzie jedna definiuje system informatyczny jako „zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”, a druga system teleinformatyczny jako „system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji”. Niby różnica niewielka, ale czy potrzebna? Zresztą praktyka pokazuje dużo więcej bolączek, gdy przykładowo następuje zbieg wielu ustaw chroniących przecież to samo dobro jakim jest informacja, a są różnice w postępowaniu z nimi. Urząd skarbowy może być tu szkolnym przykładem – ta sama informacja może być tam chroniona jako informacja niejawna, informacja stanowiąca tajemnicę skarbową albo informacja stanowiąca dane osobowe. Każda ustawa obowiązująca naczelnika US, a właściwie przepisy wykonawczego do niej, inaczej określają sposób przetwarzania w zakresie zbierania, przechowywania, archiwizowania informacji oraz dokumentowania tych czynności dla potrzeb tego urzędu. Co mają zrobić pracownicy spółek Skarbu Państwa, w których wytyczne w zakresie ochrony informacji przygotowuje pełnomocnik ochrony podległy prezesowi spółki oraz administrator bezpieczeństwa informacji umiejscowiony w pionie administracji podległej innemu członkowi zarządu w tej spółce, i wytyczne te są ze sobą niespójne. Czyje wytyczne są ważniejsze? Wbrew pozorom, takie przypadki to praktyka dnia codziennego. A chronione jest to samo dobro – informacja, czasami w postaci danych informatycznych. Brak organu koordynującego i wprowadzającego regulacje w zakresie ochrony informacji jest dzisiaj szczególnie widoczny.
Niepokojąco brzmią słowa Grzegorza Małeckiego[14], który napisał:
„należy zbudować samodzielną służbę odpowiedzialną za cyberbezpieczeństwo, cyberwywiad oraz wywiad radioelektroniczny, tzw. SIGINT (na wzór amerykańskiej NSA, czy brytyjskiej GCHQ). Obowiązujący model, w którym zadania realizują – według własnego uznania – istniejące agencje, jest absolutnie nieefektywny i pozbawiony racji bytu”.
W ten sposób mamy do czynienia z marnowaniem ograniczonych zasobów ludzkich i finansowych. Nie wiem, czy przypadkiem ten punkt widzenia Autora nie wiąże się z aktualnie podawanymi przez media niesnaskami pomiędzy minister cyfryzacji Anną Streżyńską a szefem MON i jest wyraźnym określeniem się po jednej ze stron. Zamiast wnioskowanej przez G. Małeckiego „samodzielnej instytucji, mającej status centralnego organu administracji państwowej, odpowiedzialnej za wykonywanie polityki państwa w zakresie zarządzania informacjami niejawnymi oraz wydawanie poświadczeń bezpieczeństwa uprawniających do dostępu do tajemnic państwowych”, bardziej marzyłoby mi się powołanie samodzielnej lub będącej w strukturach Ministerstwa Cyfryzacji instytucji będącej odpowiednikiem niemieckiego Bundesamt für Sicherheit in der Informationstechnik (BSI – Federalne Biuro Bezpieczeństwa informacji).[15] Można byłoby tam też przekazać zadania w zakresie zarządzania informacjami niejawnymi postulowane przez G. Małeckiego. Problematyka bezpieczeństwa systemów informatycznych dotyczy nie tylko instytucji rządowych i samorządowych, ale w znacznie większej części sfery prywatnej. A ta część użytkowników, nie zawsze chce mieć jakiekolwiek kontakty z państwowymi służbami specjalnymi, zwłaszcza po utracie zaufania do tych instytucji w zakresie utrzymania tajemnicy takich kontaktów. Adres do korespondencji do Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL – Warszawa, ul. Rakowiecka 2A kojarzy się jednoznacznie. Pamiętajmy też, że w Polsce istnieje ogromna ilość organizacji i stowarzyszeń pozarządowych, które już w tej chwili mogą poszczycić się dużymi osiągnięciami w zakresie bezpieczeństwa systemów informatycznych. Dodam tylko, że stworzenie takiej instytucji wcale nie byłoby wbrew pozorom trudne, ostatecznie z własnego doświadczenia i znajomości z ludźmi wiem, że w niemieckiej BSI duża grupa pracowników, to oddelegowani tam funkcjonariusze BKA i innych służb państwowych.
Dobrze, że MSWiA dostrzegło wreszcie problem świata wirtualnego[16] i w swoim Raporcie o stanie bezpieczeństwa państwa za rok 2015 napisało:
„Cyberprzestrzeń pozostaje obszarem działania zarówno indywidualnych przestępców, jak i zorganizowanych grup przestępczych oraz środowisk ekstremistycznych i organizacji terrorystycznych. Upowszechnienie dostępu do Internetu, w kontekście globalnego charakteru cyberprzestrzeni, przy jednocześnie stosunkowo dużej możliwości zachowania anonimowości i popełniania przestępstw na terenie jednego państwa z obszaru innego, sprzyja występowaniu różnego rodzaju zagrożeń zarówno dotyczących bezpieczeństwa systemów informatycznych, jak i o charakterze stricte przestępczym (przestępczość o charakterze ekonomicznym, kryminalnym i narkotykowym). Istotne jest również, że cyberzagrożenia mają charakter elastyczny i bezpośrednio zależny od kierunków rozwoju nowoczesnych technologii.”[17]
Ten i kolejne akapity tego podrozdziału raportu budzą zadowolenie Autora, gdyż o cyberzagrożeniach, w tym szpiegostwie komputerowym, wykorzystaniu sieci do komunikacji przestępczej, cybernetycznych wojnach dezinformacyjnych, cyberterroryzmie, pornografii w sieci, pisał zarówno on, jak i podani w przypisie (4) Autorzy stosunkowo dawno – co nie powstrzymało decydentów przed likwidacją w 2004 r. pierwszego zespołu ds. przestępczości komputerowej i skutkowało m.in. zerwaniem szeregu nawiązanych wówczas kontaktów oraz odejściem ze służby lub przejściem do innych, nie mających nic wspólnego z dotychczasowymi, zadań funkcjonariuszy już przygotowanych do monitorowania cyberprzestrzeni.
Porównanie tabeli 14.1, 14.2, 14.3 i 14.4[18] wspomnianego wyżej raportu z informacjami zawartymi w „Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2015 roku”, przygotowanym przez CERT.GOV.PL[19], wyraźnie potwierdza tezę, że polskie organa ścigania analizują procesowo minimalną ilość incydentów w sieci. Zespół CERT.GOV.PL łącznie zarejestrował 16 123 zgłoszenia, z których aż 8 914 zostało zakwalifikowanych jako faktyczne incydenty. Liczba alarmów o priorytecie wysokim (1429) w systemie gromadzącym i analizującym informacje pozwalające na określenie lokalizacji geograficznej źródeł, z których podejmowano ataki na polskie sieci administracji publicznej ARAKIS-GOV, również nie ma odzwierciedlenia w tabeli 14.4.
| Tabela 14.1 Liczba postępowań wszczętych przez Policję z wybranych artykułów k.k. dotyczących cyberprzestępczości w latach 2009-2015 | ||||||
| 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | |
|---|---|---|---|---|---|---|
| art. 200a §1-2 k.k. (przestępstwa związane z pedofilią) | 34 | 64 | 84 | 129 | 154 | 281 |
| art. 269 §1-2 k.k. (atak na zasoby lub urządzenia informatyczne instytucji państwowych lub samorządowych) | 7 | 3 | 9 | 14 | 9 | 4 |
| art. 269a k.k. (atak na system komputerowy lub sieć teleinformatyczną) | 22 | 38 | 35 | 37 | 27 | 52 |
| art. 269b k.k. (udostępnianie urządzeń, programów lub danych służący popełnianiu przestępstw) | 35 | 38 | 21 | 42 | 47 | 58 |
| Źródło: KGP | ||||||
| Tabela 14.2 Liczba przestępstw stwierdzonych przez Policję z wybranych artykułów k.k. dotyczących cyberprzestępczości w latach 2009-2015 | ||||||
| 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | |
|---|---|---|---|---|---|---|
| art. 200a §1-2 k.k. (przestępstwa związane z pedofilią) | 6 | 62 | 74 | 132 | 151 | 286 |
| art. 269 §1-2 k.k. (atak na zasoby lub urządzenia informatyczne instytucji państwowych lub samorządowych) | 0 | 5 | 5 | 9 | 7 | 4 |
| art. 269a k.k. (atak na system komputerowy lub sieć teleinformatyczną) | 18 | 30 | 30 | 34 | 52 | 111 |
| art. 269b k.k. (udostępnianie urządzeń, programów lub danych służący popełnianiu przestępstw) | 71 | 29 | 27 | 28 | 43 | 44 |
| Źródło: KGP | ||||||
| Tabela 14.3 Liczba przestępstw stwierdzonych przez Policję, w odniesieniu do których w polu „modus operandi” wskazano cechy związanie z Internetem lub systemami komputerowymi w latach 2013-2015* | |||
| 2013 | 2014 | 2015 | |
|---|---|---|---|
| art. 190a §1-3 k.k. (uporczywe nękanie, tworzenie fałszywych tożsamości, fałszywych profili, podszywanie się pod osobę) | 442 | 687 | 951 |
| art. 196 k.k. (obraza uczuć religijnych innych osób) | 9 | 7 | 4 |
| art. 200b k.k. (publiczne pochwalanie i propagowanie zachowań pedofilskich) | 1 | 3 | 2 |
| art. 202 §1 k.k. (rozpowszechnianie pornografii w sposób narzucający tego rodzaju treści osobom, które sobie tego nie życzą) | 10 | 23 | 22 |
| art. 202 §3, 4, 4a, 4b k.k. (produkowanie, utrwalanie, sprowadzanie, przechowywanie,posiadanie, rozpowszechnianie, prezentowanie i uzyskiwanie dostępu do treści pedofilskich, związanych z prezentowaniem przemocy i zoofilskich) | 2096 | 2307 | 396 |
| art. 256 §1 i 2 k.k. (propagowanie ustrojów totalitarnych oraz treści rasistowskich i ksenofobicznych oraz wytwarzanie i utrwalanie takich treści w celu rozpowszechniania) | 84 | 213 | 234 |
| art. 257 k.k. (publiczne znieważanie grupy ludności albo poszczególnych osób z powodu jej przynależności narodowej, etnicznej, rasowej, wyznaniowej albo z powodu jej bezwyznaniowości) | 33 | 99 | 171 |
| art. 266 §1 k.k. (nielegalne ujawnienie informacji uzyskanej w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową) | 8 | 9 | 9 |
| art. 266 §2 k.k. (ujawnienie informacji niejawnej o klauzuli „zastrzeżone” lub „poufne” przez funkcjonariusza publicznego) | 1 | 0 | 0 |
| art. 268 §1 i 2 k.k. (nielegalne niszczenie, uszkadzanie usuwanie, zmienianie zapisu istotnej informacji albo znaczne utrudnianie lub udaremnianie możliwości zapoznania się z nią) | 155 | 123 | 93 |
| art. 268a §1-2 k.k. (niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo w istotnym stopniu zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywanie takich danych) | 332 | 374 | 395 |
| art. 271 §1-3 k.k. (wystawienie przez funkcjonariusza publicznego lub inną uprawnioną osobę dokumentu, w którym poświadcza nieprawdę co do okoliczności mającej znaczenie prawne); | 144 | 9 | 456 |
| art. 286 §1-3 k.k. oraz art. 286 §1 w zw. z art. 294 §1 (oszustwo) | 30 977 | 36 394 | 40 499 |
| Źródło: KGP | |||
| Tabela 14.4 Liczba śledztw ABW związanych z przestępczością w cyberprzestrzeni w latach 2010-2015 | ||||||
| 2010 | 2011 | 2012 | 2013 | 2014 | 2015 | |
|---|---|---|---|---|---|---|
| art. 267 k.k. (włamania do systemów komputerowych) | 2 | 3 | 1 | 3 | 2 | 0 |
| art. 268a k.k. (atak na zasoby informatyczne) | 0 | 0 | 1 | 0 | 0 | 0 |
| art. 269 k.k. (atak na zasoby lub systemy informatyczne instytucji państwowych lub samorządowych) | 0 | 3 | 2 | 1 | 0 | 0 |
| art. 269a k.k. (zakłócanie pracy systemu komputerowego lub sieci teleinformatycznej) | 1 | 0 | 1 | 1 | 0 | 1 |
| art. 269b k.k. (udostępnianie urządzeń, programów lub danych służący popełnianiu przestępstw) | 0 | 1 | 0 | 0 | 0 | 0 |
| art. 287 k.k. (oszustwo komputerowe) | 1 | 1 | 1 | 1 | 1 | 1 |
| RAZEM | 4 | 8 | 6 | 6 | 3 | 2 |
| Źródło: ABW | ||||||
A trzeba pamiętać, że przeprowadzenie postępowania przygotowawczego, nawet w sytuacji niewiary w możliwość ustalenia lub ukarania sprawcy, pozwala na procesowe zabezpieczenie dowodów na rzecz ich późniejszego wykorzystania. Już słyszę głosy, że takie działania popsują statystyki wykrywalności (i tak nadrabiane danymi dotyczącymi zwalczania piractwa komputerowego), ale część „Raportu o stanie bezpieczeństwa” przygotowana przez Ministerstwo Sprawiedliwości wyraźnie wskazuje, że w tym zakresie jest sporo do nadrobienia: „W 2015 roku w sądach rejonowych z art. 268a k.k. (niszczenie lub uszkadzanie danych informatycznych) osądzono łącznie 32 osoby, z czego 24 skazano. Kary pozbawienia wolności w zawieszeniu orzeczono w przypadku 10 osób. Uniewinniono 4 osoby. Z art. 269a k.k. (zakłócanie pracy systemu komputerowego lub sieci teleinformatycznej) w sądach rejonowych osądzono 4 osoby, z czego 3 skazano. Z art. 269b k.k. (wytwarzanie, pozyskiwanie, zbywanie, udostępnianie, urządzenia lub programu komputerowego do popełniania przestępstw) w 2015 roku w sądach rejonowych osądzono łącznie 243 osoby, z czego 238 skazano. Kary pozbawienia wolności orzeczono w przypadku 191 osób, w tym w zawieszeniu wobec 152. Uniewinniono 3 osoby. Ponadto na podstawie art. 287 k.k. (oszustwo komputerowe gospodarcze) w 2015 roku w sądach rejonowych osądzono łącznie 109 osób, z czego 97 skazano. Kary pozbawienia wolności orzeczono w przypadku 73 osób (w tym w zawieszeniu 56)”.[20]
Należy tu wyraźnie zaznaczyć, że bez odpowiedniej statystyki nie ma wiedzy i nie można robić badań. Nie można też prowadzić racjonalnej analizy ryzyka.
Cieszę się, iż wreszcie dostrzeżono potrzebę wypracowania rekomendacji w zakresie zabezpieczeń technicznych, konfiguracji systemów, procedur bezpiecznej eksploatacji i bezpiecznego użytkowania. Opracowane rekomendacje mają dotyczyć podmiotów, które nie są lub nie będą z mocy prawa zobowiązane do stosowania określonych rozwiązań, jak również obywateli. Strategia obiecuje również przygotowanie polityk informacyjnych dopasowanych do potrzeb poszczególnych grup odbiorców. Obecnie rekomendacje takie dla systemów przetwarzających informacje niejawne przygotowuje ABW, kilka rekomendacji i zaleceń w zakresie przetwarzania danych osobowych przygotowało GIODO. Dla administracji rekomendacjami takimi były po części zapisy Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.[21]
Rzeczywistość jest jednak bardziej brutalna, bo jak czytamy w materiałach NIK:
„W 15 urzędach, tj. 62,5% objętych kontrolą nie opracowano i nie wdrożono Polityki Bezpieczeństwa Informacji (dalej PBI), która jest elementem systemu zarządzania bezpieczeństwem informacji. /…/ Nie opracowano pisemnych procedur zarządzania uprawnieniami użytkowników do pracy w systemach informatycznych w jednym a w 13 innych urzędach (54,2%) stwierdzono nieprawidłowości /…/ konta w systemach informatycznych 20 byłych pracowników (z 310 objętych badaniem) nie zostały zablokowane i pozostawały wciąż aktywne /…/ Zasady bezpiecznej pracy użytkowników przy wykorzystaniu komputerów przenośnych zgodne z wymogami określonymi w § 20 ust. 2 pkt 8 rozporządzenia KRI ustanowiono tylko w 11 urzędach (45,8%) /…/ W dziewięciu urzędach (tj. 37,5%) w okresie objętym kontrolą nie przeprowadzono audytu w zakresie bezpieczeństwa informacji w systemach informatycznych”[22].
Jako wzorzec dla realizowania tego zadania można wskazać na, od lat podejmujący działania w tym zakresie, wspominany już niemiecki Bundesamt für Sicherheit in der Informationstechnik (BSI), którego strona internetowa, poza wytycznymi technicznymi, zawiera szereg szczegółowych podpowiedzi praktycznych i opracowań naukowych. Stworzenie organizmu, który będzie pełnił nie tylko rolę koordynacyjną, ale też analityczną i badawczą na temat cyberbezpieczeństwa, jest potrzebą chwili. Powinien on współtworzyć materiały edukacyjne i służyć wsparciem dla służb i sektorów.
Drugi cel szczegółowy – wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom, realizowany ma być poprzez:
- zwiększanie zdolności do zwalczania cyberprzestępczości, w tym cyberszpiegostwa i zdarzeń o charakterze terrorystycznym, występującej w cyberprzestrzeni,
- uzyskanie zdolności do prowadzenia pełnego spektrum działań militarnych w cyberprzestrzeni,
- zbudowanie zdolności w zakresie analizy zagrożeń na poziomie krajowym,
- zbudowanie systemu bezpiecznej komunikacji na potrzeby bezpieczeństwa narodowego.
Postulaty te nie są nowe i pojawiły się już wcześniej w „Doktrynie cyberbezpieczeństwa BBN”, która wręcz stwierdzała, że
„Siły Zbrojne RP powinny dysponować zdolnościami obrony i ochrony własnych systemów teleinformatycznych i zgromadzonych w nich zasobów, a także zdolnościami do aktywnej obrony i działań ofensywnych w cyberprzestrzeni. Powinny być zintegrowane z pozostałymi zdolnościami SZ RP, aby zwiększyć narodowy potencjał odstraszania (zniechęcania, powstrzymywania) potencjalnego agresora. Powinny być też gotowe, samodzielnie i we współpracy z sojusznikami, do prowadzenia operacji ochronnych i obronnych na dużą skalę w razie cyberkonfliktu, w tym cyberwojny”.[23]
Ponadto, w ramach realizacji drugiego celu, zamierza się stworzyć centrum analityczne, którego rolę ma pełnić Narodowe Centrum Cyberbezpieczeństwa. Do jego zadań należeć będzie m.in. wymiana informacji między przedstawicielami biznesu reprezentującymi różne sektory gospodarki, każdy o innej specyfice, takiej jak infrastruktura krytyczna, transport, energia, telekomy, IT, banki, a instytucjami takimi jak ZUS, czy inne organy administracji publicznej, pozwalająca na szybkie reagowanie na zagrożenia i incydenty. Jeżeli jednak NCC będzie działać w strukturach NASK-u i będzie składać się z czterech pionów: badawczo-rozwojowego, operacyjnego, szkoleniowego i analitycznego[24], nie spełni roli odpowiednika niemieckiego BSI.
Kolejny element, to zbudowanie bezpiecznej komunikacji. Niepokoić może, że w Strategii ani słowem nie wspomina się o Narodowym Centrum Kryptologii, które realizuje zadania związane z prowadzeniem badań, projektowaniem, budową, wdrażaniem, użytkowaniem oraz ochroną narodowych technologii kryptologicznych na potrzeby polskiej administracji publicznej i wojska, a które jakieś osiągnięcia ma, skoro MON na swoich stronach internetowych informuje:
„Polski zespół, koordynowany przez Narodowe Centrum Kryptologii zajął szóste miejsce wśród 20 zespołów biorących udział w przeprowadzonych w dniach 25-28 kwietnia, największych na świecie i najbardziej zaawansowanych pod kątem technicznym ćwiczeniach międzynarodowych z zakresu obrony cybernetycznej – Locked Shields”.[25]
Planowane są testy i audyty, przewiduje się też prawne uregulowanie programów bug-bounty (czyli sprawdzeń systemów bezpieczeństwa, przeprowadzanych przez hakerów zgłaszających akces do programu), które są coraz popularniejsze na świecie.
Trzeci cel szczegółowy – zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni, realizowany ma być poprzez:
- rozbudowę zasobów przemysłowych i technologicznych na potrzeby cyberbezpieczeństwa,
- zbudowanie mechanizmów współpracy między sektorem publicznym i prywatnym,
- zwiększanie kompetencji kadry podmiotów istotnych dla funkcjonowania bezpieczeństwa cyberprzestrzeni,
- stworzenie warunków do bezpiecznego korzystania z cyberprzestrzeni przez obywateli.
Znowu hasła szczytne i nośne. Strategia odwołuje się tutaj do Programu Cyberparku Enigma z Planu Morawieckiego[26], co ma pozwolić na konkurowanie na rynku europejskim technologii IT. Ciekawym rozwiązaniem jest również zapowiedź hubów innowacyjnych, które mają wesprzeć polskie przedsiębiorstwa na globalnym rynku oraz zwrócenie dużej uwagi na wsparcie start-upów. W zrealizowaniu celu trzeciego ma pomóc współpraca między sektorem państwowym i prywatnym, choć nie podano konkretnych rozwiązań w tym obszarze.
Rozumiany całościowo potencjał narodowy nie może zostać zbudowany bez badań i rozwoju w obszarze bezpieczeństwa teleinformatycznego. Dlatego planuje się w ramach Narodowego Centrum Badań i Rozwoju uruchomienie programu badawczego, który będzie miał na celu przygotowanie i wdrożenie metod ochrony przed zagrożeniami pochodzącymi z cyberprzestrzeni. Obawiam się jednak o ich realizację. Przykłady projektu EPAR, czy polskich technologii grafenu są bardzo wymowne. Ostatni punkt, to edukacja, zarówno na poziomie eksperckim, administracji państwowej, jak i zwykłych obywateli, aby zwiększyć świadomość zagrożeń pochodzących ze świata wirtualnego. Polskim problemem jest to, że o kwestii „cyber…” w administracji decydowały przez długie lata osoby, dla których komputer był inteligentną maszyna do pisania, narzędziem do gier lub ewentualnym medium do czytania wiadomości, a zatrudnieni przez nich informatycy mieli za zadanie pilnować sprawności sprzętu, w tym głównie tego czy w drukarce jest papier lub czy jest prąd w gniazdku. Widać to nie tylko w kwestii cyberbezpieczeństwa, ale także, a może głównie, w sferze samego zastosowania informatyki i jej możliwości. Nie wiem więc, czy bardziej potrzebny jest wzmocniony system szkoleń dla wszystkich pracowników podmiotów istotnych dla funkcjonowania bezpieczeństwa w cyberprzestrzeni, czy też system szkoleń dla decydentów, którzy zarządzają administracją.
Ciekawie brzmi też zapis:
„W celu zapewnienia merytorycznego wsparcia dla kierowników jednostek administracji rządowej w zakresie zarządzania cyberbezpieczeństwem utrzymana zostanie zasada powoływania w tych jednostkach Pełnomocników do spraw bezpieczeństwa cyberprzestrzeni”.
To już trzecie stanowisko w administracji rządowej – po pełnomocniku ochrony (informacji niejawnych) lub podległym mu inspektorze bezpieczeństwa teleinformatycznego oraz administratorze bezpieczeństwa informacji (w ramach ochrony danych osobowych), którego zadaniem będzie zabezpieczanie i nadzór nad bezpieczeństwem systemów informatycznych. Czy koordynatorem ich zadań będzie, mający z reguły niewielkie pojęcie o tych systemach i cyberbezpieczeństwie, kierownik jednostki administracji rządowej?
Czwarty cel szczegółowy – zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa realizowany ma być poprzez:
- aktywną współpraca międzynarodowa na poziomie strategiczno-politycznym,
- aktywną współpraca międzynarodowa na poziomie operacyjnym i technicznym.
Współpraca międzynarodowa na poziomie strategiczno-politycznym ma się oprzeć na takich organizacjach jak NATO, ONZ i UE. W przypadku Unii Europejskiej wspomniano o Wspólnej Polityce Bezpieczeństwa i Obronności, jednak na razie współpraca w zakresie cyberbezpieczeństwa w jej ramach jest ograniczona – choć może być dalej rozwijana. Dodatkowo zwrócono uwagę na ugrupowania regionalne, jak Grupa Wyszehradzka, czy państwa regionu Morza Bałtyckiego. Wskazuje się również na konieczność udziału polskich ekspertów w forach oraz konferencjach międzynarodowych.
W ramach współpracy operacyjno-technicznej strategia wspomina o konieczności dołączenia do różnych międzynarodowych sieci CSIRT oraz aktywności na innych forach wymiany informacji i dokonywania analiz sytuacji bezpieczeństwa IT danego sektora, poprzez inne międzynarodowe sieci współpracy typu FIRST, czy TF-CSIRT, platformy wymiany informacji typu MISP, czy n6 oraz w ramach współpracy dwu- i wielostronnej. Podkreślono też konieczność opracowania wspólnych procedur działania w ramach UE i NATO oraz Grupy V4. Zaznaczono, iż współpraca na tym poziomie będzie służyła nie tylko skutecznemu przeciwdziałaniu zagrożeniom w cyberprzestrzeni, ale przyczyni się do wymiany doświadczeń pomiędzy personelem technicznym w ramach wspólnych przedsięwzięć. Będzie również okazją do promowania polskich rozwiązań technologicznych i polskiej kadry eksperckiej.
Strategia Cyberbezpieczeństwa uchwalona została na okres 5 lat. Koordynatorem wdrażania Strategii Cyberbezpieczeństwa wyznaczono ministra właściwego do spraw informatyzacji. Jest to rozwiązanie ze wszech miar słuszne. Trzeba się bowiem zgodzić ze słowami minister cyfryzacji Anny Streżyńskiej, że:
„Wszystkie resorty, zarówno wiodące w tej dziedzinie, jak i te, które jedynie muszą zachować bezpieczeństwo, są zmuszone, żeby ze sobą współpracować. Każdy ma swoje zadania i jakąś ważną rolę do odegrania. Poza Ministerstwem Cyfryzacji, które pełni rolę koordynującą i realizuje zadania wynikające z ustawy działowej, mamy jeszcze trzy inne organy, w których obszarze działalności znajdują się zadania z zakresu cyberbezpieczeństwa. Są to MON, MSWiA z Policją i ABW. Do MON należą wszystkie kwestie związane z obroną i zagrożeniami zewnętrznymi, do MSWiA – zagrożenia przestępcze i naruszenia prawa (te wątki zwykle „kończą się” u ministra sprawiedliwości), a do ABW – ochrona infrastruktury krytycznej i państwowej. Trwają nieustanne rozmowy z tymi trzema kluczowymi resortami. Poza tym są jeszcze: BBN (doktryna obronna), KNF, NBP i wiele wspomagających instytucji. Z rozmów i uzgodnień wynika, że konieczne jest wskazanie, kto za co odpowiada. Następnie należy ująć całość problematyki w ramy wspólnego planu czy strategii i wreszcie zapewnić infrastrukturę, która będzie gwarantować bezpieczeństwo.”[27]
Istotnym zapisem Strategii jest także obowiązek poddawania jej, po dwóch latach od przyjęcia oraz w czwartym roku obowiązywania, przeglądowi i ocenie efektów jej oddziaływania, którego wyniki przedstawiane będą Radzie Ministrów.
Celowo pomijam punkt Strategii mówiący o jej finansowaniu – bo zdaję sobie sprawę, że koszty dobrego zabezpieczenia wielokrotnie przewyższają koszty zakupu infrastruktury systemu informatycznego, nie mówiąc już o kosztach osobowych. Administracja państwowa jest raczej kiepsko płatnym pracodawcą dla informatyka, a w zabezpieczeniach powinni pracować najlepsi.
Reasumując, należy jednoznacznie stwierdzić, że powstanie dokumentu ma ogromny sens, choć – w mojej ocenie – jest to dokument bardzo ogólny i jego pełna analiza będzie możliwa dopiero po powstaniu Planu działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa, do którego opracowania minister cyfryzacji we współpracy z członkami Rady Ministrów, kierownikami urzędów centralnych, Dyrektorem Rządowego Centrum Bezpieczeństwa, jest zobowiązany w terminie do sześciu miesięcy od przyjęcia Strategii. Biorąc pod uwagę osobowość aktualnej minister ds. cyfryzacji, mogę mieć nadzieję, że Strategia nie stanie się jedynie dokumentem o charakterze propagandowym – manifestującym zaangażowanie rządu polskiego w ochronę cyberprzestrzeni.
dr Krzysztof Jan Jakubski
Krzysztof Jan Jakubski – doktor nauk ekonomicznych (SGH), mgr prawa. Uczestnik licznych krajowych i zagranicznych szkoleń specjalistycznych z zakresu bezpieczeństwa systemów informatycznych oraz elektronicznych instrumentów płatniczych. Emerytowany oficer Policji (ostatni przydział Zespół ds. przestępczości komputerowej w Biurze Służby Kryminalnej KGP) pracujący m.in. jako Naczelnik Wydziału Bezpieczeństwa w Banku Polskiej Spółdzielczości S.A. (2004-2008) oraz współtworzący procedury i projekty Alior Banku S.A. w zakresie zabezpieczeń (2008). Konsultant firm dokonujących audytu zabezpieczeń informatycznych, wykładowca akademicki. W latach 2000 – 2004 członek kolegium redakcyjnego miesięcznika poświęconego tematyce bezpieczeństwa systemów informatycznych “IT Security Magazine”. Autor ponad 120 opracowań naukowych i popularno-naukowych. Popularyzator idei polityki bezpieczeństwa systemów teleinformatycznych. Aktualnie specjalizuje się w zarządzaniu bezpieczeństwem biznesu (m.in. analizą ryzyka operacyjnego).
Przypisy
[1] Jakubski K. J., Przestępczość komputerowa: podział, definicja, możliwość jej ścigania i zapobiegania [w:] Brunon Hołyst (red.), „Postępy Kryminalistyki”, z. 1, rok 1, Warszawa-Legionowo 1997.
[2] Jakubski K. J., Wyłudzanie towarów i usług na podstawie numerów kart kredytowych przez Internet [w:] Internet 2000 prawo – ekonomia – kultura, red. R. Skubisz, „Vebra” Lublin 2000, s. 249 i n.
[3] Por. K.M. Mazur, Polskojęzyczna społeczność przestępcza zorganizowana w sieci DARKNET, ICTLAW.pl, Poznań 2016.
[4] Por. Tomaszewski T., Kryminalistyczna problematyka przestępczości komputerowej, „Problemy Kryminalistyki” 1980, nr 143, s. 68-80; Czechowski R., Sienkiewicz P., Przestępcze oblicza komputerów, Wydawnictwo Naukowe PWN, Warszawa 1993, s. 69; Adamski A. (red.), Prawne aspekty nadużyć popełnianych z wykorzystaniem nowoczesnych technologii przetwarzania informacji. Materiały z konferencji naukowej, Poznań 20-22.04.1994 r., Toruń 1994; Sieber U., Przestępczość komputerowa a prawo karne informatyczne w międzynarodowym społeczeństwie informacji i ryzyka, Przegląd Policyjny 1995, nr 3 (39); Jakubski K.J., Przestępczość komputerowa – zarys problematyki, „Prokuratura i Prawo” 1996, nr 12, s. 34-50; Budzisz W., Badania kryminalistyczne na tle rozwoju przestępczości komputerowej w Polsce, „Problemy Kryminalistyki” 1996, nr 214, s. 35-46; Jakubski K. J., Komputerowy nośnik informacji jako dokument w polskim procesie karnym, „Przegląd Policyjny” 1997, nr 3; Jakubski K. J., Rozpowszechnianie pornografii w sieci komputerowej Internet, „Prokuratura i Prawo” 1997, nr 7–8; i inne.
[5] Działa od 1996 roku, aktualnie jako CERT Polska (do końca roku 2000 pod nazwą CERT NASK); od roku 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams).
[6] W dniach 12 – 14 czerwca 2017 r. odbędzie się jubileuszowa XX edycja tej konferencji.
[7] https://mc.gov.pl/files/strategia_cyberbezpieczenstwa_rzeczypospolitej_polskiej_na_lata_2017_-_2022.pdf (dostęp 14.05.2017)
[8] http://www.cert.gov.pl/download/3/161/PolitykaOchronyCyberprzestrzeniRP148x210wersjapl.pdf (dostęp 14.05.2017)
[9] Doktryna cyberbezpieczeństwa RP, BBN, 2015, https://www.bbn.gov.pl/ftp/dok/01/DCB.pdf (dostęp 14.05.2017)
[10] Dokonał tego J. Skrzypczak, Polityka Ochrony Cyberprzestrzeni RP, „Przegląd Strategiczny” 2014, nr 7, s. 133-144
[11] NIK o bezpieczeństwie w cyberprzestrzeni, https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-w-cyberprzestrzeni.htm (dostęp 14.05.2017)
[12] CERT (Computer Emergency Response Team) jest nazwą zastrzeżoną przez Carnegie Mellon University i jej używanie wymaga zgody tego uniwersytetu. Zgodę taką posiada CERT Polska. Dyrektywa NIS posługuje się nazwą CSIRT. „Sieć CSIRT” to struktura organizacyjna o której mowa w art. 12 Dyrektywy NIS. „CSIRT” lub „CERT” lub „Zespól reagowania na incydenty komputerowe” oznacza grupę osób składającą się z analityków bezpieczeństwa, zorganizowaną w celu opracowywania, rekomendowania i koordynowania działań mających na celu wykrywanie, powstrzymywanie i zwalczanie skutków wynikających z incydentów, a także pozyskanie informacji na temat istoty tych incydentów
[13] Por. „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni Rzeczypospolitej Polskiej”, Informacja o wynikach kontroli, Departament Porządku i Bezpieczeństwa Wewnętrznego NIK, KPB-4101-002-00/2014, Nr ewid. 42/2015/P/14/043/K, https://www.nik.gov.pl/kontrole/wyniki-kontroli-nik/pobierz,kpb~p_14_043_201406171048381403002118~01,typ,kk.pdf (dostęp 14.05.2017); “Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych, wymiany informacji w postaci elektronicznej oraz Krajowych Ram Interoperacyjności na przykładzie niektórych urzędów gmin miejskich i miast na prawach powiatu”, Informacja o wynikach kontroli, Departament Administracji Publicznej NIK, KAP-4101-002-00/2014, Nr ewid. 205/2014/P/14/004/K, https://www.nik.gov.pl/kontrole/wyniki-kontroli-nik/pobierz,kap~p_14_004_201405280743421401263022~01,typ,kk.pdf (dostęp 14.05.2017).
[14] Grzegorz Małecki: Bezgłowe służby, publikacja: 07.05.2017 aktualizacja: 09.05.2017, http://www.rp.pl/Publicystyka/305079942-Bezglowe-sluzby.html#ap-1 , (dostęp 14.05.2017).
[15] https://www.bsi.bund.de/DE/Home/home_node.html
[16] Jednym z zarzutów NIK było: “Minister Spraw Wewnętrznych odpowiadający za sprawy bezpieczeństwa i zarządzania kryzysowego nie realizował żadnych zadań związanych z bezpieczeństwem państwa i jego infrastruktury w kontekście ochrony teleinformatycznej. W szczególności, Minister nie podejmował działań w celu zawarcia w Krajowym Planie Zarządzania Kryzysowego procedur reagowania na zdarzenia związane z cyberprzestrzenią, co wyjaśniano niezidentyfikowaniem przez właściwe komórki Ministerstwa ryzyk w tym obszarze. MSW nie współpracowało również efektywnie z przedsiębiorcami telekomunikacyjnymi w realizacji nałożonych na nich obowiązków, dotyczących przygotowania planów działań w sytuacjach szczególnych zagrożeń. Minister Spraw Wewnętrznych, przekazując przedsiębiorcom informacje służące identyfikacji ryzyk dla ich działalności, nie wskazywał żadnych zagrożeń związanych z cyberprzestrzenią i rutynowo przedstawiał coroczną „Ocenę zagrożenia bezpieczeństwa powszechnego w Polsce”, odnoszącą się wyłącznie do zagrożeń konwencjonalnych, takich jak powodzie, trzęsienia ziemi, pożary itd. Minister wyjaśnił, że nie informowano o ryzykach związanych z bezpieczeństwem teleinformatycznym, ponieważ obowiązujące przepisy nie nakładają wprost obowiązku przekazywania przedsiębiorcom informacji na temat tej konkretnej kategorii zagrożeń. Działania Ministra Spraw Wewnętrznych w obszarze bezpieczeństwa IT ograniczały się do własnych sieci oraz systemów resortowych, natomiast były one prowadzone bez należytego przygotowania oraz bez wdrożenia w MSW zapisów „Polityki” , por. Realizacja przez podmioty państwowe zadań…, op. cit., s. 40
[17] Raport o stanie bezpieczeństwa w Polsce w 2015 r., MSWiA, s. 260-261, https://bip.mswia.gov.pl/download/4/29642/file.file (dostęp 14.05.2017).
[18] Raport o stanie bezpieczeństwa w Polsce w 2015…, s. 264-266.
[19] Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2015 r., Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, kwiecień 2016, http://www.cert.gov.pl/download/3/183/RaportostaniebezpieczenstwacyberprzesytrzeniRPw2015roku.pdf (dostęp 14.05.2017).
[20] Raport o stanie bezpieczeństwa w Polsce w 2015…, s. 268.
[21] Dz. U. z 2012 r., poz. 526 ze zm.
[22] „Wdrażanie wybranych wymagań dotyczących systemów teleinformatycznych…”, s. 14 i n.
[23] Doktryna cyberbezpieczeństwa RP…, s. 19.
[24] NCC – na straży cyberbezpieczeństwa, 04.07.2016, https://mc.gov.pl/aktualnosci/ncc-na-strazy-cyberbezpieczenstwa (dostęp 15.05.2017).
[25] http://www.mon.gov.pl/aktualnosci/artykul/najnowsze/locked-shields-2017-12017-04-28 (dostęp 15.05.2017).
[26] Plan na rzecz Odpowiedzialnego Rozwoju, Ministerstwo Rozwoju, s.24 https://www.mr.gov.pl/media/14840/Plan_na_rzecz_Odpowiedzialnego_Rozwoju_prezentacja.pdf (dostęp 15.05.2017).
[27] Streżyńska dla Cyberdefence24.pl: Cyberbezpieczeństwo ma charakter cywilny, publikacja: 22 lipca 2016, http://www.cyberdefence24.pl/415458,strezynska-dla-cyberdefence24pl-cyberbezpieczenstwo-ma-charakter-cywilny (dostęp 14.05.2017).